[go: up one dir, main page]

JP2005182640A - Firewall apparatus, communication system using the same, and communication method - Google Patents

Firewall apparatus, communication system using the same, and communication method Download PDF

Info

Publication number
JP2005182640A
JP2005182640A JP2003425372A JP2003425372A JP2005182640A JP 2005182640 A JP2005182640 A JP 2005182640A JP 2003425372 A JP2003425372 A JP 2003425372A JP 2003425372 A JP2003425372 A JP 2003425372A JP 2005182640 A JP2005182640 A JP 2005182640A
Authority
JP
Japan
Prior art keywords
control data
remote control
packet
firewall
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003425372A
Other languages
Japanese (ja)
Inventor
Reiketsu Ko
令傑 孔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SoftBank Corp
Original Assignee
Japan Telecom Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Japan Telecom Co Ltd filed Critical Japan Telecom Co Ltd
Priority to JP2003425372A priority Critical patent/JP2005182640A/en
Publication of JP2005182640A publication Critical patent/JP2005182640A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】OSや端末の状態に依存せずに独立して基本動作を行うことができ、更にはファイアウォール機能とリモートコントロール機能とを明確に分離することで制御データ等の書き換えを端末による制御なくして独立して実行可能とする。
【解決手段】このファイアウォール装置1は、ハードウェアで構成され、受信したパケットを解析し、当該パケットに遠隔制御データが含まれているか否かを判断し、当該遠隔制御データが含まれている場合には当該遠隔制御データを格納し、当該遠隔制御データが含まれていない場合には、制御データに基づいて当該パケットが通過条件に合致しているか否かを判断するように制御するファイアウォール・コア部12を有する。
【選択図】 図1[PROBLEMS] To independently perform basic operations without depending on the state of an OS or a terminal, and further to rewrite control data etc. without control by a terminal by clearly separating a firewall function and a remote control function. Can be executed independently.
The firewall device 1 is configured by hardware, analyzes a received packet, determines whether or not the packet includes remote control data, and includes the remote control data. Is a firewall core that stores the remote control data and, if the remote control data is not included, controls to determine whether the packet meets the passage condition based on the control data Part 12.
[Selection] Figure 1

Description

本発明は、例えば、不正なパケットをフィルタリングする機能等を備えたファイアウォール装置、及びそれを用いた通信システム、通信方法に関する。   The present invention relates to, for example, a firewall apparatus having a function of filtering illegal packets, a communication system using the same, and a communication method.

従来、ネットワーク・システムの内部(LAN等)と外部(インターネット等)の境界部分にファイアウォール装置を設け、当該ファイアウォール装置により外部からのアクセスを制限することで、内部システムの安全性を高めることがなされている。このようなファイアウォール装置は、例えばインターネットから入ってくるパケット、LANから出ていくパケットを監視し、不正パケットを適宜破棄することはできるが、LAN内部で行われる通信に関する制御はできない。そこで、今日では、パーソナルファイアウォールというソフトウェアファイアウォールを端末毎に実装することがなされている。通常のファイアウォールがインターネットとLANの境界部分に設置され使用されるのに対して、このパーソナルファイアウォールはウイルススキャンソフト等との併用で個々の端末毎にインストールされてOS上で実行されるソフトウェアである(非特許文献1参照)。
NETWORK MAGAZINE(ネットワーク マガジン) 2004年1月号,P176-177,出版社アスキー,2003年11月22日発行 Conventionally, a firewall device is provided at the boundary between the inside of a network system (such as a LAN) and the outside (such as the Internet), and access from the outside is restricted by the firewall device, thereby improving the safety of the internal system. ing. Such a firewall device can monitor, for example, packets coming in from the Internet and packets going out from the LAN, and discard illegal packets as appropriate, but cannot control communications performed inside the LAN. Thus, today, software firewalls called personal firewalls are implemented for each terminal. While a normal firewall is installed and used at the boundary between the Internet and the LAN, this personal firewall is software that is installed for each terminal in combination with virus scanning software and executed on the OS. (Refer nonpatent literature 1).
NETWORK MAGAZINE January 2004 issue, P176-177, publisher ASCII, published November 22, 2003

しかしながら、上記パーソナルファイアウォールは、前述したように端末毎にインストールされOS上で実行されるソフトウェアであることから、OSに依存するところが大きく、端末が起動していないときには実行されない。即ち、パーソナルファイアウォールでは、トラヒックが危険な状態下にあっても、端末が起動されていないと、フィルタリング等の各種機能を発揮することができない。   However, since the personal firewall is software installed for each terminal and executed on the OS as described above, the personal firewall largely depends on the OS and is not executed when the terminal is not activated. That is, in the personal firewall, even if the traffic is in a dangerous state, various functions such as filtering cannot be performed unless the terminal is activated.

本発明の目的とするところは、ハードウェアによりファイアウォール装置を構成することで、OSに依存することなく、更に端末の状態によらず、独立してフィルタリング等の基本動作を行うことができるようにし、更にはファイアウォール機能とリモートコントロール機能とを明確に分離することで制御データ等の書き換えを端末による制御なくして独立して実行可能とすることにある。   An object of the present invention is to configure a firewall device by hardware so that basic operations such as filtering can be performed independently without depending on the OS and without depending on the state of the terminal. Furthermore, the firewall function and the remote control function are clearly separated so that rewriting of control data or the like can be performed independently without control by the terminal.

上記目的を達成するために、本発明の第1の態様では、ネットワークを介して外部と通信する通信手段と、少なくとも遠隔制御データを格納する遠隔制御データ格納手段と、上記通信手段にて受信したパケットを解析し、当該パケットに遠隔制御データが含まれているか否かを判断し、当該遠隔制御データが含まれている場合には当該遠隔制御データを上記遠隔制御データ格納手段に格納するように制御するファイアウォール手段とを具備することを特徴とするファイアウォール装置が提供される。   In order to achieve the above object, in the first aspect of the present invention, communication means for communicating with the outside via a network, remote control data storage means for storing at least remote control data, and reception by the communication means Analyzing the packet, determining whether the remote control data is included in the packet, and storing the remote control data in the remote control data storage means if the remote control data is included There is provided a firewall apparatus characterized by comprising firewall means for controlling.

本発明の第2の態様では、ネットワークを介して外部と通信する通信手段と、少なくとも遠隔制御データを格納する遠隔制御データ格納手段と、少なくとも制御データを格納する制御データ格納手段と、上記通信手段にて受信したパケットを解析し、当該パケットに遠隔制御データが含まれているか否かを判断し、当該遠隔制御データが含まれている場合には当該遠隔制御データを上記遠隔制御データ格納手段に格納し、当該遠隔制御データが含まれていない場合には、上記制御データ格納手段に格納されている制御データに基づいて当該パケットが通過条件に合致しているか否かを判断するように制御するファイアウォール手段とを具備することを特徴とするファイアウォール装置が提供される。   In the second aspect of the present invention, communication means for communicating with the outside via a network, remote control data storage means for storing at least remote control data, control data storage means for storing at least control data, and the communication means The packet received at is analyzed to determine whether the remote control data is included in the packet. If the remote control data is included, the remote control data is stored in the remote control data storage means. When the remote control data is not included, control is performed so as to determine whether or not the packet matches the passage condition based on the control data stored in the control data storage means. There is provided a firewall device comprising a firewall means.

本発明の第3の態様では、上記第2の態様において、上記ファイアウォール手段は、パケットが通過条件に合致していると判断した場合には当該パケットを通過し、通過条件に合致していないと判断した場合には当該パケットを破棄するように制御することを更に特徴とするファイアウォール装置が提供される。   In the third aspect of the present invention, in the second aspect, when the firewall means determines that the packet matches the passage condition, the firewall means passes the packet and does not match the passage condition. A firewall device further characterized in that when judged, the packet is controlled to be discarded.

本発明の第4の態様では、上記第2の態様において、上記パケットのログデータを格納するログデータ格納手段を更に有し、上記ファイアウォール手段は、上記パケットが制御データに含まれるログ条件に合致しているか否かを判断し、当該ログ条件に合致している場合には上記ログデータ格納手段に当該パケットのログデータを書き込むことを更に特徴とするファイアウォール装置が提供される。   According to a fourth aspect of the present invention, in the second aspect, log data storage means for storing the log data of the packet is further provided, and the firewall means meets the log condition included in the control data. There is provided a firewall device further characterized by determining whether or not the log data is satisfied and writing the log data of the packet in the log data storage means when the log condition is met.

本発明の第5の態様では、ネットワークを介して外部と通信する第1の通信手段と、端末と通信するための第2の通信手段と、少なくとも遠隔制御データを格納する遠隔制御データ格納手段と、少なくとも制御データを格納する制御データ格納手段と、上記第1の通信手段又は第2の通信手段にて受信したパケットを解析し、当該パケットに遠隔制御データが含まれているか否かを判断し、当該遠隔制御データが含まれている場合には当該遠隔制御データを上記遠隔制御データ格納手段に格納し、当該遠隔制御データが含まれていない場合には、上記制御データ格納手段に格納されている制御データに基づいて当該パケットが通過条件に合致しているか否かを判断する当該パケットに上記端末による制御命令が含まれているか否かを判断し、更には、当該パケットに制御命令が含まれている場合には制御手段に転送するように制御するファイアウォール手段と、上記制御命令に従って、遠隔制御データに基づくデータの更新処理を行い、当該更新処理の結果を上記ネットワーク及び上記端末の少なくともいずれかに通知するように制御する制御手段とを具備することを特徴とするファイアウォール装置が提供される。   In a fifth aspect of the present invention, a first communication means for communicating with the outside via a network, a second communication means for communicating with a terminal, and a remote control data storage means for storing at least remote control data Analyzing at least the control data storage means for storing the control data and the packet received by the first communication means or the second communication means, and determining whether the remote control data is included in the packet. When the remote control data is included, the remote control data is stored in the remote control data storage means. When the remote control data is not included, the remote control data is stored in the control data storage means. Determining whether or not the packet meets the passage condition based on the control data being determined whether or not the packet includes a control command from the terminal; Includes a firewall unit that controls to transfer the packet to the control unit when the packet includes a control command, and performs a data update process based on the remote control data in accordance with the control command. There is provided a firewall apparatus comprising control means for controlling the result to be notified to at least one of the network and the terminal.

本発明の第6の態様では、上記第1乃至第5の態様において、上記遠隔制御データには、制御データやソフトウェア、制御命令の少なくともいずれかが含まれることを更に特徴とするファイアウォール装置が提供される。   According to a sixth aspect of the present invention, there is provided the firewall apparatus according to any one of the first to fifth aspects, wherein the remote control data further includes at least one of control data, software, and a control command. Is done.

本発明の第7の態様では、ネットワークを介してファイアウォール装置と制御センタとが接続された通信システムであって、上記制御センタは、上記ファイアウォール装置の制御データを記憶する制御データデータベースと、上記制御データを含む遠隔制御データを送信するセンタ通信手段と、を有し、上記ファイアウォール装置は、ネットワークを介して少なくとも制御センタと通信する通信手段と、少なくとも遠隔制御データを格納する遠隔制御データ格納手段と、少なくとも制御データを格納する制御データ格納手段と、を有し、上記通信手段にて受信したパケットを解析し、当該パケットに制御センタからの遠隔制御データが含まれているか否かを判断し、当該遠隔制御データが含まれている場合には当該遠隔制御データを上記遠隔制御データ格納手段に格納し、当該遠隔制御データが含まれていない場合には、上記制御データ格納手段に格納されている制御データに基づいて当該パケットが通過条件に合致しているか否かを判断するように制御することを特徴とする通信システムが提供される。   According to a seventh aspect of the present invention, there is provided a communication system in which a firewall device and a control center are connected via a network, wherein the control center stores a control data database storing control data of the firewall device, and the control Center communication means for transmitting remote control data including data, and the firewall device communicates with at least the control center via a network, and remote control data storage means for storing at least remote control data Control data storage means for storing at least control data, and analyzing the packet received by the communication means, determining whether the packet includes remote control data from the control center, If the remote control data is included, the remote control data is transferred to the remote control data. If it is stored in the control data storage means and the remote control data is not included, it is determined whether or not the packet meets the passage condition based on the control data stored in the control data storage means. There is provided a communication system characterized in that control is performed.

本発明の第8の態様では、制御センタと、ネットワークを介して当該制御センタと接続されたファイアウォール装置と、当該ファイアウォール装置を介して制御センタと通信自在な端末とからなる通信システムであって、上記制御センタは、上記ファイアウォール装置の制御データを記憶する制御データデータベースと、上記端末のデータを記憶する端末データベースと、上記制御データを含む遠隔制御データを送信するセンタ通信手段と、を有し、上記ファイアウォール装置は、ネットワークを介して少なくとも制御センタと通信する第1の通信手段と、端末と通信するための第2の通信手段と、少なくとも遠隔制御データを格納する遠隔制御データ格納手段と、少なくとも制御データを格納する制御データ格納手段と、上記第1の通信手段又は第2の通信手段にて受信したパケットを解析し、当該パケットに制御センタからの遠隔制御データが含まれているか否かを判断し、当該遠隔制御データが含まれている場合には当該遠隔制御データを上記遠隔制御データ格納手段に格納し、当該遠隔制御データが含まれていない場合には、上記制御データ格納手段に格納されている制御データに基づいて当該パケットが通過条件に合致しているか否かを判断する当該パケットに上記端末による制御命令が含まれているか否かを判断し、更には、当該パケットに端末或いは制御センタからの制御命令が含まれている場合には制御手段に転送するように制御するファイアウォール手段と、上記制御命令に従って、ファイアウォール手段の設定の更新或いは読み出し、又は遠隔制御データに基づく更新処理を行い、当該更新処理の結果を上記ネットワーク及び上記端末の少なくともいずれかに通知するように制御する制御手段と、を有する、ことを特徴とする通信システムが提供される。   According to an eighth aspect of the present invention, there is provided a communication system comprising a control center, a firewall device connected to the control center via a network, and a terminal capable of communicating with the control center via the firewall device, The control center has a control data database for storing control data of the firewall device, a terminal database for storing data of the terminal, and a center communication means for transmitting remote control data including the control data, The firewall apparatus includes: a first communication unit that communicates with at least a control center via a network; a second communication unit that communicates with a terminal; a remote control data storage unit that stores at least remote control data; Control data storage means for storing control data, and the first communication unit Alternatively, the packet received by the second communication means is analyzed to determine whether or not the remote control data from the control center is included in the packet, and if the remote control data is included, the remote If the control data is stored in the remote control data storage means and the remote control data is not included, the packet matches the passage condition based on the control data stored in the control data storage means. It is determined whether or not the packet includes a control command from the terminal, and if the packet includes a control command from the terminal or the control center, the control means Firewall means for controlling the transfer, and updating or reading of the firewall means settings or remote control data according to the control command. Ku and update process, the result of the updating process and a control means for controlling to notify at least one of the network and the terminal, there is provided a communication system, characterized in that.

本発明の第9の態様では、制御センタと、ネットワークを介して当該制御センタと接続されたファイアウォール装置と、当該ファイアウォール装置を介して制御センタと通信自在な端末とからなる通信システムによる通信方法であって、上記ファイアウォール装置において、ファイアウォール手段が、受信したパケットを解析し、当該パケットに制御センタからの遠隔制御データが含まれているか否かを判断し、当該遠隔制御データが含まれている場合には当該遠隔制御データを遠隔制御データ格納手段に格納し、当該遠隔制御データが含まれていない場合には、制御データ格納手段に格納されている制御データに基づいて当該パケットが通過条件に合致しているか否かを判断する当該パケットに上記端末による制御命令が含まれているか否かを判断し、更には、当該パケットに端末或いは制御センタからの制御命令が含まれている場合には制御手段に転送するように制御し、制御手段が、上記制御命令に従って、ファイアウォール手段の設定の更新或いは読み出し、又は遠隔制御データに基づく更新処理を行い、当該更新処理の結果を上記ネットワーク及び上記端末の少なくともいずれかに通知するように制御する、ことを特徴とする通信方法が提供される。   According to a ninth aspect of the present invention, there is provided a communication method using a communication system comprising a control center, a firewall device connected to the control center via a network, and a terminal capable of communicating with the control center via the firewall device. In the firewall device, when the firewall means analyzes the received packet, determines whether or not the packet includes remote control data from the control center, and includes the remote control data. The remote control data is stored in the remote control data storage means, and if the remote control data is not included, the packet matches the passage condition based on the control data stored in the control data storage means. Whether or not the packet includes a control command from the terminal. Further, if the packet includes a control command from the terminal or the control center, control is performed so that the packet is transferred to the control unit. The control unit sets the firewall unit according to the control command. There is provided a communication method characterized in that an update process based on update or reading or remote control data is performed, and control is performed so as to notify the result of the update process to at least one of the network and the terminal.

本発明によれば、ハードウェアによりファイアウォール装置を構成することで、OSに依存することなく、更に端末の状態によらず、独立してフィルタリング等の基本動作を行うことができるようにし、更にはファイアウォール機能とリモートコントロール機能とを明確に分離することで制御データ等の書き換えを端末による制御なくして独立して実行可能とする、ファイアウォール装置、及びそれを用いた通信システム、通信方法を提供することができる。   According to the present invention, by configuring the firewall device with hardware, it is possible to perform basic operations such as filtering independently without depending on the OS and without depending on the state of the terminal. To provide a firewall device, a communication system using the same, and a communication method that can execute control data rewrite independently without a control by a terminal by clearly separating a firewall function and a remote control function Can do.

以下、図面を参照して、本発明の実施の形態について説明する。   Embodiments of the present invention will be described below with reference to the drawings.

(第1の実施の形態)
図1には、本発明の第1の実施の形態に係るファイアウォール装置、及びそれを用いた通信システムの構成例を示し、説明する。 (First embodiment)
FIG. 1 shows a configuration example of a firewall apparatus according to the first embodiment of the present invention and a communication system using the firewall apparatus, and will be described.

この図1に示されるように、ファイアウォール装置1a,1b・・・を集中管理する遠隔制御センタ3は、端末データベース(DB)4と制御データDB5を有している。各端末2a,2b・・・は、ファイアウォール装置1a,1b・・・、ネットワーク6を介して、端末相互間で或いは遠隔制御センタ3と通信自在となっている。尚、以下の説明では、ファイアウォール装置1a,1b・・・を総称するときは符号1を用い、端末2a,2b・・・を総称するときは符号2を用いることとする。   As shown in FIG. 1, the remote control center 3 that centrally manages the firewall devices 1a, 1b,... Has a terminal database (DB) 4 and a control data DB 5. The terminals 2a, 2b,... Can communicate with each other or with the remote control center 3 via the firewall devices 1a, 1b,. In the following description, reference numeral 1 is used to collectively refer to the firewall devices 1a, 1b,..., And reference numeral 2 is used to collectively refer to the terminals 2a, 2b.

ここで、上記ファイアウォール装置1の詳細な構成は、図2に示される通りである。   Here, the detailed configuration of the firewall device 1 is as shown in FIG.

図2に示されるように、このファイアウォール装置1は、ネットワークインタフェース(I/F)部11、ファイアウォール・コア部12、遠隔制御データ格納部13、制御部14、制御データ格納部15、ログデータ格納部16、端末I/F部17を有する。   As shown in FIG. 2, the firewall device 1 includes a network interface (I / F) unit 11, a firewall core unit 12, a remote control data storage unit 13, a control unit 14, a control data storage unit 15, and log data storage. Unit 16 and terminal I / F unit 17.

ネットワークI/F部11は、LANやWAN等のネットワーク6を介した通信の為のI/Fである。例えば、遠隔制御センタ3からパケットがネットワーク6を介して送信されると、当該パケットがネットワークI/F部11を介してファイアウォール・コア部12に送られる。ファイアウォール・コア部12は、制御データ格納部15に格納されている制御データに基づいて、データトラフィックを制御する為のものである。即ち、ファイアウォール・コア部12は、通過パケットを制限することができ、通過を許可していない不正パケットを破棄する、所謂パケットフィルタリングの機能を有する。この場合、ファイアウォール・コア部12は、上記パケットを制御データ格納部15に格納されている制御データ(通過条件)と比較し、通過の可否を決定する。この詳細は後述する。   The network I / F unit 11 is an I / F for communication via the network 6 such as a LAN or a WAN. For example, when a packet is transmitted from the remote control center 3 via the network 6, the packet is transmitted to the firewall core unit 12 via the network I / F unit 11. The firewall core unit 12 controls data traffic based on the control data stored in the control data storage unit 15. In other words, the firewall core unit 12 has a so-called packet filtering function that can restrict passing packets and discard illegal packets that are not allowed to pass. In this case, the firewall core unit 12 compares the packet with control data (passing conditions) stored in the control data storage unit 15 and determines whether or not the packet can pass. Details of this will be described later.

遠隔制御データ格納部13は、遠隔制御センタ3からネットワーク6を介して送信された遠隔制御データを格納する為のものである。この遠隔制御データ格納部13は、ネットワーク6を介して遠隔制御センタ3等から送信された遠隔制御データ等の書き込みのみが可能となっており、当該遠隔制御データ等は制御部14によってのみ読み出しが可能となっている。即ち、ファイアウォール・コア部12は、遠隔制御データを遠隔制御データ格納部13に格納することはできても、当該遠隔制御データ格納部13より遠隔制御データを読み出すことはできない。ここで、遠隔制御データとは、遠隔制御センタ3からネットワーク6を介して送られたパケットのデータ部に含まれるもので、制御データやファームウェア等のソフトウェア、制御命令等を含むものである。   The remote control data storage unit 13 is for storing remote control data transmitted from the remote control center 3 via the network 6. The remote control data storage unit 13 can only write remote control data transmitted from the remote control center 3 or the like via the network 6, and the remote control data can be read only by the control unit 14. It is possible. That is, the firewall core unit 12 can store the remote control data in the remote control data storage unit 13, but cannot read the remote control data from the remote control data storage unit 13. Here, the remote control data is included in the data portion of a packet sent from the remote control center 3 via the network 6, and includes control data, software such as firmware, control commands, and the like.

制御部14は、端末2又は遠隔制御センタ3からのパケットに含まれる制御命令に従ってファイアウォール装置1の制御を司る為のものである。より具体的には、ファイアウォール装置1の動作モードの設定、制御データの更新、ファームウェア等のソフトウェアの更新、ログデータに関する操作等の制御を司る。制御データ格納部15は、ファイアウォール・コア部12が動作する為の制御データを格納する為のものである。ログデータ格納部16は、ファイアウォール装置1の動作履歴を記録する為のものである。端末I/F部17は、ファイアウォール装置1と端末2との間の通信の為のI/Fである。   The control unit 14 controls the firewall device 1 in accordance with a control command included in a packet from the terminal 2 or the remote control center 3. More specifically, it controls the setting of the operation mode of the firewall apparatus 1, the update of control data, the update of software such as firmware, and the operation related to log data. The control data storage unit 15 is for storing control data for operating the firewall core unit 12. The log data storage unit 16 is for recording an operation history of the firewall device 1. The terminal I / F unit 17 is an I / F for communication between the firewall device 1 and the terminal 2.

なお、ファイアウォール・コア部12はプログラムとして実装することも可能である。   The firewall core unit 12 can be implemented as a program.

また、制御部14についてもプログラムとして実装することが可能である。   The control unit 14 can also be implemented as a program.

尚、請求項に記載の通信手段、第1の通信手段とはネットワークI/F部11等に相当し、第2の通信手段とは端末I/F部17等に相当し、遠隔制御データ格納手段とは遠隔制御データ格納部13等に相当し、ファイアウォール手段とはファイアウォール・コア部12等に相当し、制御データ格納手段とは制御データ格納部15等に相当し、制御手段とは制御部14等に相当する。但し、これらの関係には限定されない。   The communication means and the first communication means described in the claims correspond to the network I / F unit 11 and the like, and the second communication means corresponds to the terminal I / F unit 17 and the like, and store remote control data. The means corresponds to the remote control data storage unit 13 or the like, the firewall means corresponds to the firewall core unit 12 or the like, the control data storage means corresponds to the control data storage unit 15 or the like, and the control means refers to the control unit. It corresponds to 14 mag. However, it is not limited to these relationships.

以上の構成において、この第1の実施の形態に係るファイアウォール装置1では、管轄する端末2の状態(起動/非起動)に係らず、独立して基本動作を行うことができる点で、ソフトウェアで構成されたパーソナルファイアウォールとは相違する。例えば、従来技術に係るパーソナルファイアウォールでは、トラフィックが危険な状態になっても、端末2が起動していなければトラフィックを遮断することができなかったが、この第1の実施の形態に係るファイアウォール装置1では、端末2の状態に係らず遮断できる。   In the above configuration, the firewall device 1 according to the first embodiment is software-based in that the basic operation can be performed independently regardless of the state of the terminal 2 that has jurisdiction (activation / non-activation). It is different from the configured personal firewall. For example, in the personal firewall according to the prior art, even if the traffic is in a dangerous state, the traffic cannot be blocked unless the terminal 2 is activated. The firewall device according to the first embodiment 1 can block regardless of the state of the terminal 2.

また、ファイアウォール装置1では、ファイアウォール機能とリモートコントロール機能とを明確に分離しているので、当該ファイアウォール機能に関しては端末2からの制御なくしても独立して実行可能であり、更には、制御データ格納部15の制御データ(制御パラメータを含む)の書き換えも端末2による制御なくして独立して実行可能である。また、遠隔制御センタ3により遠隔制御できるのは制御データ(制御パラメータを含む)の更新のみとすることで、セキュリティを担保している。   In addition, since the firewall function 1 and the remote control function are clearly separated in the firewall device 1, the firewall function can be executed independently without control from the terminal 2, and control data is stored. Rewriting of control data (including control parameters) of the unit 15 can also be performed independently without control by the terminal 2. Further, the remote control center 3 can be controlled remotely only by updating the control data (including control parameters), thereby ensuring security.

次に、図3(a)には遠隔制御センタ3から送信されるパケットの一例を示し、図3(b)には制御データに含まれる通過条件に係るテーブルの一例を示し、説明する。   Next, FIG. 3A shows an example of a packet transmitted from the remote control center 3, and FIG. 3B shows an example of a table relating to a passage condition included in the control data.

先ず、図3(a)に示されるように、パケットはヘッダ部とデータ部からなり、当該ヘッダ部はIPヘッダ、TCP/UDPヘッダからなる。   First, as shown in FIG. 3A, a packet includes a header portion and a data portion, and the header portion includes an IP header and a TCP / UDP header.

このパケットのIPヘッダには、例えばバージョン番号(Ver.No.)やプロトコルタイプ(Protocol Type;以下、PTと略記する)、送信元IPアドレス(Src.ADDR;以下、SAと略記する)、宛先IPアドレス(Dst.ADDR;以下、DAと略記する)等が含まれている。更に、TCP/UDPヘッダには、送信元/宛先のポート番号(Port No.;以下、PNと略記する)等が含まれている。   In the IP header of this packet, for example, a version number (Ver.No.), a protocol type (Protocol Type; hereinafter abbreviated as PT), a source IP address (Src.ADDR; hereinafter abbreviated as SA), a destination An IP address (Dst.ADDR; hereinafter abbreviated as DA) and the like are included. Further, the TCP / UDP header includes a source / destination port number (Port No .; hereinafter abbreviated as PN) and the like.

一方、パケットのデータ部にはペイロードデータ(Payload Data)や特定情報(Specified Data;以下、SDと略記する)等が含まれている。このSDは、コンピュータウィルス等を有無を判断する為のものである。更に、遠隔制御データ(制御データ、ファームウェア、制御命令等を含む)は、このデータ部に含まれる。   On the other hand, the data portion of the packet includes payload data, specific information (hereinafter abbreviated as SD), and the like. This SD is for determining whether or not there is a computer virus or the like. Further, remote control data (including control data, firmware, control commands, etc.) is included in this data portion.

そして、図3(b)に示されるように、パケットフィルタリングの通過条件に係るテーブルは、前述したパケットに含まれるIP,PT,SA,DA,DN,SP,そしてフラグ(通過の場合“1”、非通過の場合“0”等)を関連付けて、通過すべきか否かについて判断する上での条件を定めている。ファイアウォール・コア部12は、ネットワークI/F部11を介して受けたパケットの上記IP,PT,SA,DA,DN,SPの各情報を読み取り、図3(b)のテーブルで予め定められている条件と照らして、当該パケットの扱いを決定することになる(パケットフィルタリング)。   Then, as shown in FIG. 3B, the table relating to the packet filtering passage conditions includes the IP, PT, SA, DA, DN, SP, and flags (“1” in the case of passage) included in the packet described above. In the case of non-passing, “0” or the like) is associated, and conditions for determining whether or not to pass are defined. The firewall core unit 12 reads the information of the IP, PT, SA, DA, DN, and SP of the packet received via the network I / F unit 11, and is determined in advance in the table of FIG. The handling of the packet is determined in light of the existing conditions (packet filtering).

ここで、本実施の形態のファイアウォール装置1において、ログデータをログデータ格納部16に格納しているのは、日々刻々と変化する利用状況を適正に把握して、当該利用状況に応じて適切な処置を行うことは重要なことであり、こうした状況に対応するためには、ログの監視及び管理が重要になるからである。   Here, in the firewall device 1 of the present embodiment, the log data is stored in the log data storage unit 16 by appropriately grasping the usage situation that changes every day and appropriately depending on the usage situation. This is because it is important to take appropriate measures, and monitoring and management of logs is important in order to cope with these situations.

以下、図4のフローチャートを参照して、本発明の第1の実施の形態に係るファイアウォール装置1がネットワーク6よりネットワークI/F部11を介してパケットの外部入力を受けた場合のファイアウォール・コア部12による処理の流れを詳細に説明する。   Hereinafter, referring to the flowchart of FIG. 4, the firewall core when the firewall apparatus 1 according to the first embodiment of the present invention receives external packet input from the network 6 via the network I / F unit 11. The flow of processing by the unit 12 will be described in detail.

尚、この処理は、第1の実施の形態に係る通信方法にも相当する。   This process corresponds to the communication method according to the first embodiment.

ファイアウォール・コア部12は、ネットワークI/F部11を介してパケットを受けると、当該パケットを解析し、遠隔制御データが含まれているか否かを判断する(ステップS1)。そして、遠隔制御データが含まれている場合には、当該遠隔制御データを遠隔制御データ格納部13に格納し(ステップS2)、本処理を終了する。   When receiving the packet via the network I / F unit 11, the firewall core unit 12 analyzes the packet and determines whether or not remote control data is included (step S1). If remote control data is included, the remote control data is stored in the remote control data storage unit 13 (step S2), and the process is terminated.

一方、パケットに遠隔制御データが含まれていない場合には、ファイアウォール・コア部12は、制御データ格納部15に格納されている制御データとの照合を行う(ステップS3)。尚、この制御データには、ログ条件、通過条件が含まれる。そして、ファイアウォール・コア部12は、パケットのログデータがログ条件に合致しているか否かを判断し(ステップS4)、ログ条件に合致している場合にはログデータをログデータ格納部16に書き込み(ステップS5)、ステップS6に移行する。ログ条件に合致していない場合には、通過条件に照らして通過すべきか否かを判断する(ステップS6)。   On the other hand, when the remote control data is not included in the packet, the firewall core unit 12 collates with the control data stored in the control data storage unit 15 (step S3). The control data includes log conditions and passage conditions. Then, the firewall core unit 12 determines whether or not the log data of the packet matches the log condition (step S4), and if the log data matches the log condition, the log data is stored in the log data storage unit 16. Writing (step S5), the process proceeds to step S6. If the log conditions are not met, it is determined whether or not the log conditions should be passed (step S6).

このステップS6で、ファイアウォール・コア部12は、制御データ格納部15に格納されている制御データに含まれる通過条件に係るテーブル(図3(b))を参照して、パケットを通過させるべきでないと判断した場合には、当該パケットを破棄し(ステップS7)、本処理を終了する。一方、通過させるべきと判断した場合には、端末I/F部17に当該パケットを送信し(ステップS8)、本処理を終了する。   In this step S6, the firewall core unit 12 should not allow the packet to pass with reference to the table (FIG. 3B) relating to the passing condition included in the control data stored in the control data storage unit 15. If it is determined that the packet is discarded, the packet is discarded (step S7), and the process ends. On the other hand, if it is determined that the packet should be passed, the packet is transmitted to the terminal I / F unit 17 (step S8), and the process is terminated.

次に、図5のフローチャートを参照して、本発明の第1の実施の形態に係るファイアウォール装置1が、端末2より端末I/F部17を介してパケットの外部入力を受けた場合のファイアウォール・コア部12による処理の流れを詳細に説明する。   Next, referring to the flowchart of FIG. 5, the firewall apparatus 1 according to the first embodiment of the present invention receives a packet external input from the terminal 2 via the terminal I / F unit 17. A process flow by the core unit 12 will be described in detail.

尚、この処理は、第1の実施の形態に係る通信方法にも相当する。   This process corresponds to the communication method according to the first embodiment.

ファイアウォール・コア部12は、端末I/F部17を介してパケットを受けると、当該パケットを解析し、制御命令が含まれているか否かを判断する(ステップS11)。このステップS11にて、制御命令が含まれていると判断した場合には、ファイアウォール・コア部12は、当該制御命令を制御部14に送り(ステップS12)、本処理を終了する。一方、パケットに制御命令が含まれていないと判断した場合、ファイアウォール・コア部12は、制御データ格納部15に格納されている制御データとの照合を行う(ステップS13)。尚、この制御データには、ログ条件、通過条件が含まれる。   When receiving the packet via the terminal I / F unit 17, the firewall core unit 12 analyzes the packet and determines whether or not a control command is included (step S11). If it is determined in step S11 that a control command is included, the firewall core unit 12 sends the control command to the control unit 14 (step S12), and the process ends. On the other hand, when determining that the control instruction is not included in the packet, the firewall core unit 12 collates with the control data stored in the control data storage unit 15 (step S13). The control data includes log conditions and passage conditions.

そして、ファイアウォール・コア部12は、パケットのログデータがログ条件に合致しているか否かを判断し(ステップS14)、ログ条件に合致している場合にはログデータをログデータ格納部16に書き込み(ステップS15)、ステップS16に移行する。これに対して、ログ条件に合致していない場合には、ファイアウォール・コア部12は、制御データ格納部15に格納されている制御データに含まれる通過条件に係るテーブルを参照して、パケットを通過すべきか否かを判断する(ステップS16)。   The firewall core unit 12 determines whether or not the log data of the packet matches the log condition (step S14). If the log data matches the log condition, the log data is stored in the log data storage unit 16. Writing (step S15), the process proceeds to step S16. On the other hand, when the log condition is not met, the firewall core unit 12 refers to the table relating to the passage condition included in the control data stored in the control data storage unit 15 and transmits the packet. It is determined whether or not to pass (step S16).

そして、このステップS16にて、ファイアウォール・コア部12は、パケットを通過させるべきでないと判断した場合には、当該パケットを破棄し(ステップS17)、本処理を終了することになる。一方、ファイアウォール・コア部12は、通過させるべきと判断した場合には、ネットワークI/F部11を介して当該パケットをネットワーク6に送信し(ステップS18)、本処理を終了することになる。   In step S16, if the firewall core unit 12 determines that the packet should not be passed, the firewall core unit 12 discards the packet (step S17) and ends the process. On the other hand, if the firewall core unit 12 determines that the packet should be passed, the firewall core unit 12 transmits the packet to the network 6 via the network I / F unit 11 (step S18), and the process ends.

次に、図6及び図7のフローチャートを参照して、本発明の第1の実施の形態に係るファイアウォール装置1の制御部14による処理を詳細に説明する。   Next, with reference to the flowcharts of FIG. 6 and FIG. 7, the processing by the control unit 14 of the firewall device 1 according to the first embodiment of the present invention will be described in detail.

尚、この処理は、第1の実施の形態に係る通信方法にも相当する。   This process corresponds to the communication method according to the first embodiment.

図6に示すように、制御部14は、先ず端末2からの制御命令か否かを判断する(ステップS21)。ここで、端末2からの制御命令であると判断した場合には、それが設定の更新に係るものであるか否かを判断することになる(ステップS22)。   As shown in FIG. 6, the control unit 14 first determines whether or not it is a control command from the terminal 2 (step S21). Here, when it is determined that the control command is from the terminal 2, it is determined whether or not it is related to the setting update (step S22).

そして、このステップS22にて、設定の更新に係るものであると判断した場合、設定を更新する(ステップS23)。具体的には、制御部14は、ファイアウォール・コア部12の動作モード、制御データ、ログ設定の少なくともいずれかを更新する。   If it is determined in step S22 that the setting is related to updating, the setting is updated (step S23). Specifically, the control unit 14 updates at least one of the operation mode, control data, and log settings of the firewall core unit 12.

この後、制御部14は、更新に成功したか否かを判断し(ステップS24)、更新に成功しなかった場合には端末2に更新失敗の旨を通知し(ステップS25)、更新に成功した場合には端末2に更新成功の旨を通知し(ステップS26)、本処理を終了する。   Thereafter, the control unit 14 determines whether or not the update is successful (step S24), and if the update is not successful, notifies the terminal 2 that the update has failed (step S25) and succeeds in the update. If so, the terminal 2 is notified of the success of the update (step S26), and this process ends.

一方、上記ステップS22にて、制御部14は、制御命令が設定の更新に係るものではないと判断した場合には設定の読み出しに係るものであるか否かを判断する(ステップS27)。このステップS27で、設定の読み出しに係るものではない場合には本処理を終了し、設定の読み出しに係るものである場合には設定を読み出す(ステップS28)。   On the other hand, in step S22, when the control unit 14 determines that the control command is not related to setting update, the control unit 14 determines whether the control command is related to setting reading (step S27). If it is not related to setting readout in step S27, the present process is terminated, and if it is related to setting readout, the setting is read (step S28).

より具体的には、制御部14は、ファイアウォール・コア部12の動作モード、制御データ、ログ設定に係る情報を制御データ格納部15から読み出すことになる。   More specifically, the control unit 14 reads out information related to the operation mode, control data, and log settings of the firewall core unit 12 from the control data storage unit 15.

そして、制御部14は、これら設定に係る情報を遠隔制御センタ3に送信すべきか否かを判断し(ステップS29)、送信すべきと判断した場合には、端末に設定送信の許可を取って、遠隔制御センタ3に当該情報を送信し(ステップS30)、本処理を終了する。一方、送信すべきでないと判断した場合には、上記情報を遠隔制御センタ3に送信することなく、本処理を終了する。   Then, the control unit 14 determines whether or not the information related to these settings should be transmitted to the remote control center 3 (step S29). If it is determined that the information should be transmitted, the control unit 14 permits the terminal to transmit the settings. Then, the information is transmitted to the remote control center 3 (step S30), and this process is terminated. On the other hand, if it is determined that the information should not be transmitted, the processing is terminated without transmitting the information to the remote control center 3.

一方、図7に示すように、図6のステップS21で端末2からの制御命令ではないと判断した場合には、制御部14は、遠隔制御データ格納部13からのリクエストに応答して当該遠隔制御データ格納部13より遠隔制御データを読み出し(ステップS31)、当該遠隔制御データの正当性を確認することになる(ステップS32)。   On the other hand, as shown in FIG. 7, if it is determined in step S21 in FIG. 6 that the control command is not from the terminal 2, the control unit 14 responds to the request from the remote control data storage unit 13 and The remote control data is read from the control data storage unit 13 (step S31), and the validity of the remote control data is confirmed (step S32).

次いで、制御部14は、遠隔制御データが有効であるか否かを判断し(ステップS33)、有効でないと判断した場合には、当該データを破棄し(ステップS34)、遠隔制御センタ3にデータを破棄した旨を通知し(ステップS35)、本処理を終了する。   Next, the control unit 14 determines whether or not the remote control data is valid (step S33). If it is determined that the remote control data is not valid, the control unit 14 discards the data (step S34) and sends the data to the remote control center 3. Is notified (step S35), and this process is terminated.

一方、上記ステップS33にて、データが有効であると判断した場合には、端末2に更新申請を行い(ステップS36)、当該更新が許可されたか否かを判断し(ステップS37)、更新が許可されない場合にはステップS40に移行する。   On the other hand, if it is determined in step S33 that the data is valid, an update application is made to the terminal 2 (step S36), it is determined whether or not the update is permitted (step S37), and the update is performed. If not permitted, the process proceeds to step S40.

これに対して、更新が許可された場合には、制御部14は、遠隔制御データの更新を行う(ステップS38)。具体的には、遠隔制御データに含まれる制御データ、ファームウェア等のソフトウェアの更新を行う。そして、制御部14は、更新に成功したか否かを判断し(ステップS39)、更新に成功しなかった場合には端末2及び遠隔制御センタ3に更新失敗の旨を通知し(ステップS40)、更新に成功した場合には端末2及び遠隔制御センタ3に更新成功の旨を通知し(ステップS26)、本処理を終了する。   On the other hand, when the update is permitted, the control unit 14 updates the remote control data (step S38). Specifically, control data included in the remote control data, software such as firmware is updated. Then, the control unit 14 determines whether or not the update is successful (step S39), and if the update is not successful, notifies the terminal 2 and the remote control center 3 that the update has failed (step S40). If the update is successful, the terminal 2 and the remote control center 3 are notified of the update success (step S26), and the process is terminated.

以上説明したように、本発明の第1の実施の形態に係るファイアウォール装置1は、ハードウェアで構成されているので、OSに依存することなく、更には端末の状態(起動/非起動)に係らず、独立して基本動作を行うことができる。また、この第1の実施の形態に係るファイアウォール装置1では、ファイアウォール機能とリモートコントロール機能とを明確に分離しているので、当該ファイアウォール機能に関しては端末2からの制御なくしても独立して実行可能であり、制御データ格納部15の制御データの制御パラメータの書き換えも端末2による制御なくして独立して実行可能である。   As described above, since the firewall device 1 according to the first embodiment of the present invention is configured by hardware, it does not depend on the OS and further changes to the state of the terminal (startup / non-startup). Regardless, the basic operation can be performed independently. In the firewall device 1 according to the first embodiment, the firewall function and the remote control function are clearly separated, so that the firewall function can be executed independently without control from the terminal 2. Thus, rewriting of control parameters of control data in the control data storage unit 15 can be performed independently without control by the terminal 2.

(第2の実施の形態)
次に、本発明の第2の実施の形態に係るファイアウォール装置を用いた通信システムについて詳細に説明する。このファイアウォール装置を用いた通信システムの構成は、先に図1,2に示したものと略同様であるので、以下では、同一構成要素について同一符号を用い、第2の実施の形態の特徴的な処理を詳細に説明する。 (Second Embodiment)
Next, a communication system using the firewall device according to the second embodiment of the present invention will be described in detail. Since the configuration of the communication system using this firewall device is substantially the same as that shown in FIGS. 1 and 2, the same reference numerals are used for the same components, and the characteristic of the second embodiment is described below. Detailed processing will be described in detail.

尚、この処理は、第2の実施の形態に係る通信方法にも相当する。   This process also corresponds to the communication method according to the second embodiment.

本発明の第2の実施の形態においては、各端末2毎に前述したような構成及び作用のファイアウォール装置1を設置することで、安全な遠隔制御を実現する。   In the second embodiment of the present invention, the secure remote control is realized by installing the firewall device 1 having the configuration and operation as described above for each terminal 2.

このファイアウォール装置1に対しては、遠隔制御センタ3による集中管理を行い、ユーザにメンテナンスフリーのサービスを提供する。尚、各ファイアウォール装置1は、ハードウェアで実現し、更にはユニークな固有IDを付与している。   The firewall device 1 is centrally managed by the remote control center 3 to provide a maintenance-free service to the user. Each firewall device 1 is realized by hardware and further assigned a unique unique ID.

このファイアウォール装置1の設置に伴って、各端末2に当該ファイアウォール装置1に対応する管理制御ソフトウェアをインストールする。端末2は、当該管理制御ソフトウェアに基づき、対応するファイアウォール装置1に関わる全ての設定(設定の更新、読み出しを含む)をすることができる。管理制御ソフトウェアは、端末2のアプリケーション情報、ユーザ識別情報をファイアウォール装置1に送信する機能も有する。   With the installation of the firewall device 1, management control software corresponding to the firewall device 1 is installed in each terminal 2. The terminal 2 can make all settings (including updating and reading of settings) related to the corresponding firewall device 1 based on the management control software. The management control software also has a function of transmitting application information and user identification information of the terminal 2 to the firewall device 1.

このような管理制御ソフトウェアのインストール完了後、端末2のユーザは、自分が使用するアプリケーション情報、通信光情報、禁止する通信光(又は種別、例えば暴力コンテンツを提供するサイト等)を登録し、登録情報を遠隔制御センタ3に送信する。   After the installation of such management control software is completed, the user of the terminal 2 registers and registers application information, communication light information, prohibited communication light (or type, for example, a site that provides violent content) that he / she uses. Information is transmitted to the remote control center 3.

この遠隔制御センタ3は、ユーザの登録情報に基づいて当該ユーザの制御データを生成する。即ち、ファイアウォール装置1の固有ID毎に、URL、プロトコル情報、アプリケーション等に対応する制御データ(使用するプロトコル、固有通信光等を含む)を生成し、制御データDB5に登録する。そして、この生成された制御データを上記固有IDを有するファイアウォール装置1に送信し、設定を要求する。より具体的には、制御データを含む遠隔制御データをデータ部に持つパケットを送信する。   The remote control center 3 generates control data for the user based on the user registration information. That is, for each unique ID of the firewall device 1, control data (including the protocol to be used, unique communication light, etc.) corresponding to the URL, protocol information, application, etc. is generated and registered in the control data DB 5. Then, the generated control data is transmitted to the firewall device 1 having the unique ID, and a setting is requested. More specifically, a packet having remote control data including control data in the data part is transmitted.

ファイアウォール装置1は、このパケット(制御データを含む)を受信すると、端末2に制御データの更新要求をし、当該端末2のユーザの更新認証を求める。端末2のユーザが更新承認をした場合には、ファイアウォール装置1は送信された制御データに基づき制御データ格納部15の設定を更新する。一方、端末2のユーザが更新承認をしない場合には、ファイアウォール装置1は設定を更新しない。ファイアウォール装置1は、更新に成功した場合は、更新の結果を遠隔制御センタ3に通知する。以上は、ファイアウォール装置1のファームウェアを更新する場合においても同様である。   When the firewall device 1 receives this packet (including control data), the firewall device 1 requests the terminal 2 to update the control data and requests update authentication of the user of the terminal 2. When the user of the terminal 2 approves the update, the firewall device 1 updates the setting of the control data storage unit 15 based on the transmitted control data. On the other hand, when the user of the terminal 2 does not approve the update, the firewall device 1 does not update the setting. When the update is successful, the firewall device 1 notifies the update result to the remote control center 3. The same applies to the case where the firmware of the firewall device 1 is updated.

以下は、前述した第1の実施の形態と特に作用上、異なる部分である。   The following is a part that is different in operation from the first embodiment described above.

ファイアウォール装置1は、未知のタイプ(未知のアプリケーション、未知のプロトコル等)のデータトラフィックを検出した場合は端末2に確認要求を出す。端末2のユーザが、当該確認要求を受け、通信を許可する場合には、制御データに未知のタイプを追加すると共に、遠隔制御センタ3にその旨を通知し、端末DB4の対応データ項目を更新(追加)する。通信を許可しない場合もその旨を通知するが、制御データへの追加は行わない。端末2のユーザがファイアウォール装置1からの確認要求を受け、一定の時間内に確認しない場合、端末2はその確認要求を遠隔制御センタ3へ送信する。   When the firewall apparatus 1 detects data traffic of an unknown type (an unknown application, an unknown protocol, etc.), it issues a confirmation request to the terminal 2. When the user of the terminal 2 receives the confirmation request and permits communication, an unknown type is added to the control data, the fact is notified to the remote control center 3, and the corresponding data item in the terminal DB 4 is updated. (to add. If communication is not permitted, this is also notified, but it is not added to the control data. If the user of the terminal 2 receives a confirmation request from the firewall device 1 and does not confirm within a certain time, the terminal 2 transmits the confirmation request to the remote control center 3.

遠隔制御センタ3は、この端末2からの確認要求を受けた後、端末DB4と制御データDB5に登録された情報と照合する。ユーザの登録情報と一致しない、又は危険なデータと判断した場合、ファイアウォール装置1に当該データに対する遮断命令(制御命令)を出し、通信を許可しない。これに対して、遠隔制御センタ3は、ユーザの登録情報と一致し、且つ危険でないと判断した場合、ファイアウォール装置1に当該データに対する通過命令(制御命令)を出し、通信を許可する。このように、遠隔制御センタ3は、所定の場合には、ファイアウォール装置1に対して通過命令(制御命令)又は遮断命令(制御命令)を発行し、ファイアウォール装置1を制御することができる。   After receiving the confirmation request from the terminal 2, the remote control center 3 collates with information registered in the terminal DB 4 and the control data DB 5. When it is determined that the data does not match the user registration information or is dangerous data, a blocking command (control command) for the data is issued to the firewall device 1 and communication is not permitted. On the other hand, if the remote control center 3 matches the user registration information and determines that there is no danger, the remote control center 3 issues a passage command (control command) for the data to the firewall device 1 and permits communication. As described above, the remote control center 3 can control the firewall device 1 by issuing a passage command (control command) or a blocking command (control command) to the firewall device 1 in a predetermined case.

いかなる場合でも、ユーザの承認無しで、ファイアウォール装置1に設定した制御データやログデータ格納部16のログデータを読み出すことはできない。   In any case, the control data set in the firewall device 1 and the log data in the log data storage unit 16 cannot be read out without user approval.

以上説明したように、本発明の第2の実施の形態によれば、前述した第1の実施の形態に係るファイアウォール装置の効果に加えて、未知のタイプのデータトラフィックを検出した場合も、遠隔制御センタ3による集中管理により適正に対処できる。   As described above, according to the second embodiment of the present invention, in addition to the effect of the firewall device according to the first embodiment described above, even when an unknown type of data traffic is detected, Appropriate measures can be taken by centralized management by the control center 3.

以上、本発明の第1及び第2の実施の形態について説明したが、本発明はこれに限定されることなく、その趣旨を逸脱しない範囲で種々の改良・変更が可能である。例えば、第1及び第2の実施の形態に係るファイアウォール装置は、端末としてのパーソナルコンピュータに外付けするPCカードの如きもので実現することができる。更に、外部のインターネット等に対応するファイアウォール装置をシステムが備えている場合には、当該ファイアウォール装置との役割の分担により、効率的な処理を実現できる。   The first and second embodiments of the present invention have been described above. However, the present invention is not limited to this, and various improvements and modifications can be made without departing from the spirit of the present invention. For example, the firewall apparatus according to the first and second embodiments can be realized by a PC card externally attached to a personal computer as a terminal. Further, when the system includes a firewall device corresponding to the external Internet or the like, efficient processing can be realized by sharing the role with the firewall device.

本発明の第1の実施の形態に係るファイアウォール装置、及びそれを用いた通信システムの構成例を示す図。The figure which shows the structural example of the firewall apparatus which concerns on the 1st Embodiment of this invention, and a communication system using the same. ファイアウォール装置1の詳細な構成を示す図。The figure which shows the detailed structure of the firewall apparatus 1. FIG. (a)は制御センタ3から送信されるパケットの一例を示す図、(b)は制御データに含まれる通過条件に係るテーブルの一例を示す図。(A) is a figure which shows an example of the packet transmitted from the control center 3, (b) is a figure which shows an example of the table which concerns on the passage conditions contained in control data. 本発明の一実施の形態に係るファイアウォール装置1がネットワーク6よりネットワークI/F部11を介してパケットの外部入力を受けた場合のファイアウォール・コア部12による処理の流れを詳細に説明するフローチャート。6 is a flowchart for explaining in detail the flow of processing by the firewall core unit 12 when the firewall device 1 according to the embodiment of the present invention receives external input of a packet from the network 6 via the network I / F unit 11. 本発明の一実施の形態に係るファイアウォール装置1が、端末2より端末I/F部17を介してパケットの外部入力を受けた場合のファイアウォール・コア部12による処理の流れを詳細に説明するフローチャート。The flowchart explaining in detail the flow of processing by the firewall core unit 12 when the firewall device 1 according to an embodiment of the present invention receives external input of a packet from the terminal 2 via the terminal I / F unit 17. . 本発明の一実施の形態に係るファイアウォール装置1の制御部14による処理を詳細に説明するフローチャート。The flowchart explaining in detail the process by the control part 14 of the firewall apparatus 1 which concerns on one embodiment of this invention. 本発明の一実施の形態に係るファイアウォール装置1の制御部14による処理を詳細に説明するフローチャート。The flowchart explaining in detail the process by the control part 14 of the firewall apparatus 1 which concerns on one embodiment of this invention.

符号の説明Explanation of symbols

1・・・ファイアウォール装置、2・・・端末、3・・・制御センタ、4・・・端末DB、5・・・制御データDB、11・・・ネットワークI/F部、12・・・ファイアウォール・コア部12、13・・・遠隔制御データ格納部13、14・・・制御部、15・・・制御データ格納部、16・・・ログデータ格納部、17・・・端末I/F部。   DESCRIPTION OF SYMBOLS 1 ... Firewall apparatus, 2 ... Terminal, 3 ... Control center, 4 ... Terminal DB, 5 ... Control data DB, 11 ... Network I / F part, 12 ... Firewall Core units 12, 13 ... remote control data storage units 13, 14 ... control unit, 15 ... control data storage unit, 16 ... log data storage unit, 17 ... terminal I / F unit .

Claims (9)

ネットワークを介して外部と通信する通信手段と、
少なくとも遠隔制御データを格納する遠隔制御データ格納手段と、
上記通信手段にて受信したパケットを解析し、当該パケットに遠隔制御データが含まれているか否かを判断し、当該遠隔制御データが含まれている場合には当該遠隔制御データを上記遠隔制御データ格納手段に格納するように制御するファイアウォール手段と、
を具備することを特徴とするファイアウォール装置。 A communication means for communicating with the outside via a network;
Remote control data storage means for storing at least remote control data;
The packet received by the communication means is analyzed to determine whether the remote control data is included in the packet. If the remote control data is included, the remote control data is converted to the remote control data. Firewall means for controlling storage in the storage means;
A firewall apparatus comprising: ネットワークを介して外部と通信する通信手段と、
少なくとも遠隔制御データを格納する遠隔制御データ格納手段と、
少なくとも制御データを格納する制御データ格納手段と、
上記通信手段にて受信したパケットを解析し、当該パケットに遠隔制御データが含まれているか否かを判断し、当該遠隔制御データが含まれている場合には当該遠隔制御データを上記遠隔制御データ格納手段に格納し、当該遠隔制御データが含まれていない場合には、上記制御データ格納手段に格納されている制御データに基づいて当該パケットが通過条件に合致しているか否かを判断するように制御するファイアウォール手段と、
を具備することを特徴とするファイアウォール装置。 A communication means for communicating with the outside via a network;
Remote control data storage means for storing at least remote control data;
Control data storage means for storing at least control data;
The packet received by the communication means is analyzed to determine whether the remote control data is included in the packet. If the remote control data is included, the remote control data is converted to the remote control data. If it is stored in the storage means and the remote control data is not included, it is determined whether or not the packet matches the passage condition based on the control data stored in the control data storage means. Firewall means to control
A firewall apparatus comprising: 上記ファイアウォール手段は、パケットが通過条件に合致していると判断した場合には当該パケットを通過し、通過条件に合致していないと判断した場合には当該パケットを破棄するように制御することを更に特徴とする請求項2に記載のファイアウォール装置。   The firewall means controls to pass the packet when it is determined that the packet matches the passage condition, and to discard the packet when it is determined that the packet does not match the passage condition. The firewall device according to claim 2, further characterized. 上記パケットのログデータを格納するログデータ格納手段を更に有し、上記ファイアウォール手段は、上記パケットが制御データに含まれるログ条件に合致しているか否かを判断し、当該ログ条件に合致している場合には上記ログデータ格納手段に当該パケットのログデータを書き込むことを更に特徴とする請求項2に記載のファイアウォール装置。   Log data storage means for storing the log data of the packet; and the firewall means determines whether the packet matches a log condition included in the control data, and matches the log condition. 3. The firewall device according to claim 2, further comprising: writing log data of the packet into the log data storage means when there is a packet. ネットワークを介して外部と通信する第1の通信手段と、
端末と通信する第2の通信手段と、
少なくとも遠隔制御データを格納する遠隔制御データ格納手段と、
少なくとも制御データを格納する制御データ格納手段と、
上記第1の通信手段又は第2の通信手段にて受信したパケットを解析し、当該パケットに遠隔制御データが含まれているか否かを判断し、当該遠隔制御データが含まれている場合には当該遠隔制御データを上記遠隔制御データ格納手段に格納し、当該遠隔制御データが含まれていない場合には、上記制御データ格納手段に格納されている制御データに基づいて当該パケットが通過条件に合致しているか否かを判断する当該パケットに上記端末による制御命令が含まれているか否かを判断し、更には、当該パケットに制御命令が含まれている場合には制御手段に転送するように制御するファイアウォール手段と、
上記制御命令に従って、遠隔制御データに基づくデータの更新処理を行い、当該更新処理の結果を上記ネットワーク及び上記端末の少なくともいずれかに通知するように制御する制御手段と、
を具備することを特徴とするファイアウォール装置。 A first communication means for communicating with the outside via a network;
A second communication means for communicating with the terminal;
Remote control data storage means for storing at least remote control data;
Control data storage means for storing at least control data;
If the packet received by the first communication means or the second communication means is analyzed, it is determined whether the remote control data is included in the packet, and if the remote control data is included The remote control data is stored in the remote control data storage means, and if the remote control data is not included, the packet matches the passage condition based on the control data stored in the control data storage means. It is determined whether the packet includes a control command from the terminal, and if the packet includes a control command, the packet is transferred to the control means. Firewall means to control;
In accordance with the control command, control means for performing a data update process based on remote control data, and controlling to notify the result of the update process to at least one of the network and the terminal;
A firewall apparatus comprising: 上記遠隔制御データには、制御データやソフトウェア、制御命令の少なくともいずれかが含まれることを更に特徴とする請求項1乃至5のいずれかに記載のファイアウォール装置。   6. The firewall apparatus according to claim 1, wherein the remote control data further includes at least one of control data, software, and a control command. ネットワークを介してファイアウォール装置と制御センタとが接続された通信システムであって、
上記制御センタは、
上記ファイアウォール装置の制御データを記憶する制御データデータベースと、
上記制御データを含む遠隔制御データを送信するセンタ通信手段と、
を有し、
上記ファイアウォール装置は、
ネットワークを介して少なくとも制御センタと通信する通信手段と、
少なくとも遠隔制御データを格納する遠隔制御データ格納手段と、
少なくとも制御データを格納する制御データ格納手段と、
を有し、
上記通信手段にて受信したパケットを解析し、当該パケットに制御センタからの遠隔制御データが含まれているか否かを判断し、当該遠隔制御データが含まれている場合には当該遠隔制御データを上記遠隔制御データ格納手段に格納し、当該遠隔制御データが含まれていない場合には、上記制御データ格納手段に格納されている制御データに基づいて当該パケットが通過条件に合致しているか否かを判断するように制御することを特徴とする通信システム。 A communication system in which a firewall device and a control center are connected via a network,
The control center
A control data database for storing control data of the firewall device;
Center communication means for transmitting remote control data including the control data;
Have
The firewall device
A communication means for communicating with at least the control center via a network;
Remote control data storage means for storing at least remote control data;
Control data storage means for storing at least control data;
Have
The packet received by the communication means is analyzed to determine whether or not the packet includes remote control data from the control center. If the remote control data is included, the remote control data is If the packet is stored in the remote control data storage means and the remote control data is not included, whether or not the packet matches the passage condition based on the control data stored in the control data storage means A communication system, characterized in that control is performed to determine 制御センタと、ネットワークを介して当該制御センタと接続されたファイアウォール装置と、当該ファイアウォール装置を介して制御センタと通信自在な端末とからなる通信システムであって、
上記制御センタは、
上記ファイアウォール装置の制御データを記憶する制御データデータベースと、
上記端末のデータを記憶する端末データベースと、
上記制御データを含む遠隔制御データを送信するセンタ通信手段と、
を有し、
上記ファイアウォール装置は、
ネットワークを介して少なくとも制御センタと通信する第1の通信手段と、
端末と通信するための第2の通信手段と、
少なくとも遠隔制御データを格納する遠隔制御データ格納手段と、
少なくとも制御データを格納する制御データ格納手段と、
上記第1の通信手段又は第2の通信手段にて受信したパケットを解析し、当該パケットに制御センタからの遠隔制御データが含まれているか否かを判断し、当該遠隔制御データが含まれている場合には当該遠隔制御データを上記遠隔制御データ格納手段に格納し、当該遠隔制御データが含まれていない場合には、上記制御データ格納手段に格納されている制御データに基づいて当該パケットが通過条件に合致しているか否かを判断し、更には当該パケットに上記端末による制御命令が含まれているか否かを判断し、当該パケットに端末或いは制御センタからの制御命令が含まれている場合には制御手段に転送するように制御するファイアウォール手段と、
上記制御命令に従って、ファイアウォール手段の設定の更新或いは読み出し、又は遠隔制御データに基づく更新処理を行い、当該更新処理の結果を上記ネットワーク及び上記端末の少なくともいずれかに通知するように制御する制御手段と、
を有する、
ことを特徴とする通信システム。 A communication system comprising a control center, a firewall device connected to the control center via a network, and a terminal capable of communicating with the control center via the firewall device,
The control center
A control data database for storing control data of the firewall device;
A terminal database for storing the data of the terminal;
Center communication means for transmitting remote control data including the control data;
Have
The firewall device
First communication means for communicating with at least the control center via a network;
A second communication means for communicating with the terminal;
Remote control data storage means for storing at least remote control data;
Control data storage means for storing at least control data;
The packet received by the first communication means or the second communication means is analyzed, it is determined whether or not the remote control data from the control center is included in the packet, and the remote control data is included. If the remote control data is not included, the remote control data is stored in the remote control data storage means. If the remote control data is not included, the packet is transmitted based on the control data stored in the control data storage means. It is determined whether or not the passage condition is satisfied, and further, it is determined whether or not the packet includes a control command from the terminal, and the packet includes a control command from the terminal or the control center. Firewall means for controlling to forward to the control means in the case,
A control means for performing control to update or read the setting of the firewall means according to the control command, or to perform update processing based on remote control data and to notify the result of the update processing to at least one of the network and the terminal; ,
Having
A communication system characterized by the above. 制御センタと、ネットワークを介して当該制御センタと接続されたファイアウォール装置と、当該ファイアウォール装置を介して制御センタと通信自在な端末とからなる通信システムによる通信方法であって、
上記ファイアウォール装置において、
ファイアウォール手段が、受信したパケットを解析し、当該パケットに制御センタからの遠隔制御データが含まれているか否かを判断し、当該遠隔制御データが含まれている場合には当該遠隔制御データを遠隔制御データ格納手段に格納し、当該遠隔制御データが含まれていない場合には、制御データ格納手段に格納されている制御データに基づいて当該パケットが通過条件に合致しているか否かを判断し、更には当該パケットに上記端末による制御命令が含まれているか否かを判断し、当該パケットに端末或いは制御センタからの制御命令が含まれている場合には制御手段に転送するように制御し、
制御手段が、上記制御命令に従って、ファイアウォール手段の設定の更新或いは読み出し、又は遠隔制御データに基づく更新処理を行い、当該更新処理の結果を上記ネットワーク及び上記端末の少なくともいずれかに通知するように制御する、
ことを特徴とする通信方法。 A communication method by a communication system comprising a control center, a firewall device connected to the control center via a network, and a terminal capable of communicating with the control center via the firewall device,
In the above firewall device,
Firewall means analyzes the received packet to determine whether the packet contains remote control data from the control center. If the remote control data is included, the remote control data is If it is stored in the control data storage means and the remote control data is not included, it is determined whether or not the packet matches the passage condition based on the control data stored in the control data storage means. Further, it is determined whether or not the packet includes a control command from the terminal. If the packet includes a control command from the terminal or the control center, control is performed so that the packet is transferred to the control means. ,
The control means controls to update or read the setting of the firewall means according to the control command, or to perform update processing based on the remote control data, and to notify the result of the update processing to at least one of the network and the terminal. To
A communication method characterized by the above.
JP2003425372A 2003-12-22 2003-12-22 Firewall apparatus, communication system using the same, and communication method Pending JP2005182640A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003425372A JP2005182640A (en) 2003-12-22 2003-12-22 Firewall apparatus, communication system using the same, and communication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003425372A JP2005182640A (en) 2003-12-22 2003-12-22 Firewall apparatus, communication system using the same, and communication method

Publications (1)

Publication Number Publication Date
JP2005182640A true JP2005182640A (en) 2005-07-07

Family

ID=34785271

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003425372A Pending JP2005182640A (en) 2003-12-22 2003-12-22 Firewall apparatus, communication system using the same, and communication method

Country Status (1)

Country Link
JP (1) JP2005182640A (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007194744A (en) * 2006-01-17 2007-08-02 Omron Corp Communication relay device, operation terminal, operation target terminal, communication system, communication relay method, operation terminal control method, operation target terminal control method, program, and recording medium recording the program
JP2014524169A (en) * 2011-06-27 2014-09-18 マカフィー, インコーポレイテッド System and method for protocol fingerprint acquisition and evaluation correlation
US9516062B2 (en) 2012-04-10 2016-12-06 Mcafee, Inc. System and method for determining and using local reputations of users and hosts to protect information in a network environment
US9661017B2 (en) 2011-03-21 2017-05-23 Mcafee, Inc. System and method for malware and network reputation correlation
JP2017163505A (en) * 2016-03-11 2017-09-14 Necプラットフォームズ株式会社 Monitoring device, switch, communication device, communication system, monitoring method, and monitoring program
JP2021083128A (en) * 2021-03-05 2021-05-27 Necプラットフォームズ株式会社 Monitoring device, switch, communication device, communication system, monitoring method, and monitoring program

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007194744A (en) * 2006-01-17 2007-08-02 Omron Corp Communication relay device, operation terminal, operation target terminal, communication system, communication relay method, operation terminal control method, operation target terminal control method, program, and recording medium recording the program
US9661017B2 (en) 2011-03-21 2017-05-23 Mcafee, Inc. System and method for malware and network reputation correlation
JP2014524169A (en) * 2011-06-27 2014-09-18 マカフィー, インコーポレイテッド System and method for protocol fingerprint acquisition and evaluation correlation
US9516062B2 (en) 2012-04-10 2016-12-06 Mcafee, Inc. System and method for determining and using local reputations of users and hosts to protect information in a network environment
JP2017163505A (en) * 2016-03-11 2017-09-14 Necプラットフォームズ株式会社 Monitoring device, switch, communication device, communication system, monitoring method, and monitoring program
JP7028543B2 (en) 2016-03-11 2022-03-02 Necプラットフォームズ株式会社 Communications system
JP2021083128A (en) * 2021-03-05 2021-05-27 Necプラットフォームズ株式会社 Monitoring device, switch, communication device, communication system, monitoring method, and monitoring program
JP7114769B2 (en) 2021-03-05 2022-08-08 Necプラットフォームズ株式会社 Communications system

Similar Documents

Publication Publication Date Title
US9319429B2 (en) Network quarantine system, network quarantine method and program therefor
US8239674B2 (en) System and method of protecting files from unauthorized modification or deletion
EP1936917B1 (en) Communication apparatus and control method thereof
EP3800564B1 (en) Secure communication method and system using network socket proxying
US20130239172A1 (en) Communication control apparatus, system, method, and non-transitory computer readable medium storing program thereon
US20130024911A1 (en) Extensible access control architecture
JP4290198B2 (en) Flexible network security system and network security method permitting reliable processes
GB2316841A (en) Method for controlling a firewall
KR101896453B1 (en) A gateway-based access control system for improving security and reducing constraint of remote access application
KR20170089579A (en) System and method for one-way file transmission
US7558845B2 (en) Modifying a DHCP configuration for one system according to a request from another system
JP2005182640A (en) Firewall apparatus, communication system using the same, and communication method
US20060101137A1 (en) Maintaining apparatus, apparatus-to-be-maintained, and maintenance system
KR102118380B1 (en) An access control system of controlling server jobs by users
KR102110815B1 (en) An access control system with onetime password function for access security
JP6442449B2 (en) Method and system for removing router vulnerabilities
JP5573113B2 (en) Authentication proxy server device, authentication proxy method and program
JP4697614B2 (en) Printing time control device, method, and program
WO2018164036A1 (en) Communication control method, recording medium for communication control program, and communication device
JP4689388B2 (en) COMMUNICATION DEVICE, ITS CONTROL METHOD, AND CONTROL PROGRAM
KR101992985B1 (en) An access control system of controlling hard-coded passwords and commands for enhancing security of the servers
KR101762859B1 (en) System and method for secure firmware update using callback
CN111143857A (en) A data sharing method, robot controller and storage medium
KR100766724B1 (en) Security switch and security system and method
KR20220124996A (en) Internet of Things device security device and method